Ecco, un sito di phishing di password che può ingannare anche gli utenti più esperti:

Immagini Getty:

Quando insegniamo alle persone come evitare di cadere vittime di siti di phishing, di solito consigliamo di ispezionare attentamente la barra degli indirizzi per assicurarci che: fa: contengono HTTPS e che: non: contengono domini sospetti come google.evildomain.com o lettere sostitutive come g00gle.com. Ma cosa accadrebbe se qualcuno trovasse un modo per phishing delle password utilizzando un sito dannoso che non conteneva questi segnali rivelatori?

Un ricercatore ha ideato una tecnica per fare proprio questo. Lo chiama BitB, abbreviazione di “browser nel browser”. Utilizza una finestra del browser falsa all’interno di una finestra del browser reale per falsificare una pagina OAuth. Centinaia di migliaia di siti utilizzano il protocollo OAuth per consentire ai visitatori di accedere utilizzando i loro account esistenti con aziende come Google, Facebook o Apple. Invece di dover creare un account sul nuovo sito, i visitatori possono utilizzare un account che hanno già e la magia di OAuth fa il resto.

Sfruttare la fiducia:

Il sito di fotoritocco Canva, ad esempio, offre ai visitatori la possibilità di accedere utilizzando uno dei tre account comuni. Le immagini sottostanti mostrano cosa vede un utente dopo aver cliccato sul pulsante “accedi”; in seguito, l’immagine mostra ciò che appare dopo aver scelto di accedere con una password di Google. Dopo che l’utente ha scelto Google, una nuova finestra del browser con un indirizzo legittimo si apre davanti alla finestra di Canva esistente.

Il protocollo OAuth garantisce che solo Google riceva la password dell’utente. Canva non vede mai le credenziali. Invece, OAuth stabilisce in modo sicuro una sessione di accesso con Google e, quando il nome utente e la password vengono estratti, Google fornisce al visitatore un token che dà accesso a Canva. (Qualcosa di simile accade quando un acquirente sceglie un metodo di pagamento come PayPal.)

La tecnica BitB sfrutta questo schema. Invece di aprire un’autentica seconda finestra del browser collegata al sito per facilitare l’accesso o il pagamento, BitB utilizza una serie di trucchi HTML e fogli di stile a cascata (CSS) per falsificare in modo convincente la seconda finestra. L’URL che appare lì può mostrare un indirizzo valido, completo di lucchetto e prefisso HTTPS. Il layout e il comportamento della finestra appaiono identici a quelli reali.

Un ricercatore che ha utilizzato la maniglia mr.d0x ha descritto la tecnica la scorsa settimana. Il suo exploit proof-of-concept inizia con una pagina Web che mostra uno spoofing meticolosamente accurato di Canva. Nel caso in cui un visitatore scelga di accedere utilizzando Apple, Google o Facebook, la pagina falsa di Canva apre una nuova pagina che incorpora ciò sembra: come la pagina OAuth dall’aspetto familiare.

Anche questa nuova pagina è una parodia. Include tutta la grafica che una persona si aspetterebbe di vedere quando utilizza Google per accedere. La pagina ha anche l’indirizzo Google legittimo visualizzato in quella che sembra essere la barra degli indirizzi. La nuova finestra si comporta in modo molto simile a una finestra del browser se collegata a una vera sessione OAuth di Google.

Se una potenziale vittima apre la pagina falsa di Canva.com e tenta di accedere con Google, “si aprirà una nuova finestra del browser e andrà a [what appears to be] l’URL accounts.google.com”, ha scritto mr.d0x in un messaggio. In realtà, il falso sito Canva “non apre una nuova finestra del browser. Sembra che sia stata aperta una nuova finestra del browser ma è solo HTML / CSS. Ora quella finestra falsa imposta l’URL su accounts.google.com, ma è un’illusione. “

Malvertiser: per favore non leggere questo:

Un collega ricercatore sulla sicurezza è rimasto abbastanza colpito dalla dimostrazione da creare un video di YouTube che mostra in modo più vivido l’aspetto della tecnica. Spiega anche come funziona la tecnica e quanto sia facile da eseguire.

https://www.youtube.com/watch?v=ntS7WHaznjI:

Browser nel browser (BITB) Tecnica di phishing – Creato da mr.d0x:

La tecnica BitB è abbastanza semplice ed efficace da sorprendere che non sia meglio conosciuta. Dopo che mr.d0x ha scritto della tecnica, un piccolo coro di colleghi ricercatori ha osservato quanto sarebbe probabile che anche gli utenti Web più esperti si innamorassero del trucco. (mr.d0x ha reso disponibili modelli di proof of concept qui.)

“Questo attacco browser-in-the-browser è perfetto per il phishing”, uno sviluppatore: ha scritto:. “Se sei coinvolto in malvertising, per favore non leggere questo. Non vogliamo darti idee”.

“Ooh che brutto: Browser In The Browser (BITB) Attack, una nuova tecnica di phishing che permette di rubare credenziali che nemmeno un professionista del web riesce a rilevare, “un’altra persona disse:.

La tecnica è stata utilizzata attivamente in natura almeno una volta in precedenza. Come riportato dalla società di sicurezza Zscaler nel 2020, i truffatori hanno utilizzato un attacco BitB nel tentativo di rubare le credenziali per il servizio di distribuzione di videogiochi Steam.

Sebbene il metodo sia convincente, presenta alcuni punti deboli che dovrebbero fornire ai visitatori esperti un modo infallibile per rilevare che qualcosa non va. Le finestre OAuth o di pagamento originali sono in realtà istanze del browser separate che sono distinte dalla pagina principale. Ciò significa che un utente può ridimensionarli e spostarli in qualsiasi punto del monitor, anche al di fuori della finestra principale.

Le finestre BitB, al contrario, non sono affatto un’istanza del browser separata. Invece, sono immagini renderizzate da HTML e CSS personalizzati e contenute nella finestra principale. Ciò significa che le pagine false non possono essere ridimensionate, ingrandite completamente o trascinate fuori dalla finestra principale.

Sfortunatamente, come ha sottolineato mr.d0x, questi controlli potrebbero essere difficili da insegnare “perché ora ci allontaniamo dal consiglio ‘controlla l’URL'” che è standard. “Stai insegnando agli utenti a fare qualcosa che non fanno mai.”

Tutti gli utenti dovrebbero proteggere i propri account con l’autenticazione a due fattori. Un’altra cosa che gli utenti più esperti possono fare è fare clic con il pulsante destro del mouse sulla pagina popup e scegliere “ispeziona”. Se la finestra è uno spawn BitB, il suo URL sarà codificato nell’HTML.

Non sarebbe sorprendente scoprire che la tecnica BitB è stata utilizzata più ampiamente, ma la reazione ricevuta da mr.d0x dimostra che molti difensori della sicurezza non sono a conoscenza di BitB. E questo significa che anche molti utenti finali non lo sono.

Leave a Comment